国外火星探测典型失败案例分析与应对策略研究

董捷 饶炜 王闯 谭志云 郑旸

(北京空间飞行器总体设计部，北京 100094)

火星探测环境复杂，任务风险高，目前国外火星探测任务成功率极低，且仅实现了火星环绕、表面着陆及巡视科学探测，大部分失败案例集中在制动捕获、进入下降与着陆(EDL)两个关键阶段。火星探测器地火转移至火星捕获阶段通常时间较长，对产品工作可靠性要求高；火星进入下降与着陆阶段各种自然环境条件与地球返回差异大，工作阶段多且时间短，受时延影响地面全程均无法支持，必须具有较强的自主能力。

本文针对火星捕获和进入下降着陆两个关键环节开展典型失败(或故障)案例分析，分类梳理了火星探测器需重点关注的设计要点，提出了应对策略。

1 国外火星探测典型失败(或故障)案例分析

以下对国外火星探测典型失败(或故障)案例开展分析。其中以在轨案例为主，部分涉及地面验证试验故障案例。

1.1 火星捕获段

1)日本希望号火星探测器近火捕获失败[1]

1998年7月3日，日本发射希望号火星探测器，目标实现火星环绕探测。

故障现象：原计划通过2次月球借力+1次地球借力飞行后进入地火转移轨道，于1999年10月到达火星。但1998年12月20日，在进行地球借力飞越及变轨时，氧化剂自锁阀未完全打开，双组元发动机不能产生足够的推力，导致轨道修正比预期减少了100 m/s的速度增量。

随后任务调整了飞行程序，设计以两次以上地球引力及月球引力的借力飞行，计划在2003年12月再次到达火星。探测器经过了4年的飞行，2002年4月，又出现星上通信和电子系统损坏，从而无法再次制动捕获进入环火轨道。

故障原因：①第一次地球借力飞行时由于氧化剂自锁阀门故障未能完全打开，氧化剂供应不足；②太阳耀斑造成电子设备发生短路，姿轨控系统无法正常工作。

2)美国火星气候轨道器近火捕获高度过低[2]

1998年12月11日，美国发射火星气候轨道器，目标实现环火遥感探测。

故障现象：1999年9月23日，在探测器进行火星制动捕获时，轨道高度比设计值偏低，导致探测器进入火星大气层而被烧毁。

故障原因：推力模型所用的参数错误。推力器推力采用了英制单位而不是规定的公制单位，导致在每次采用推力器进行动量轮卸载时，轨道计算模型存在偏差(卸载约每天一次)，从而使地面定轨结果存在明显偏差。

3)美国火星观测者号探测器在火星捕获前与地面失去联系[3]

1992年9月25日，美国发射火星观测者号探测器，目标实现环火遥感探测。

故障现象：1993年8月21日，火星观测者号探测器在进入火星轨道前3天，进行推进分系统电爆阀操作时，为避免起爆对行波管放大器产生影响，关闭了行波管，但之后火星观测者号探测器与地面失去联系。

故障原因：

根据文献[3]推断有如下原因，其中推进系统故障的可能性最大。

(1)推进系统故障：①推进系统单向阀泄漏使氧化剂和燃烧剂异常混合，管路发生爆炸，产生无法控制的增压气体和推进剂的排放，使探测器失去姿态控制和推进能力；②积累的N2O4蒸汽渗过单向阀腐蚀增压系统限流器的钎焊材料，腐蚀物堵塞推进系统气体压力调节阀，造成无法关闭，推进剂贮箱超压破裂；③推进系统电爆阀引爆时，因为阀门组件中用来固定引爆装置的螺栓损坏，造成引爆装置以200 m/s的速度从阀门中弹出，击中推进贮箱，造成破裂损坏。

(2)电子设备故障：①电子设备的短路使供电系统发生故障；②推进系统增压时，电爆阀起爆产生的感应电流使电子器件锁死，使计算机系统发生故障；③测控通信系统中的电子部件锁死导致发射机工作异常。

4)美国海盗号探测器接近火星时轨道器贮箱增压异常[3]

1975年8月20日，美国发射海盗1号探测器，探测器包括轨道器和着陆器两部分，目标一次任务实现火星环绕和着陆。

故障现象：1976年6月19日，探测器在接近火星实施推进剂加压准备时，遥测显示贮箱压力在达到工作状态后仍持续上升，导致燃料每小时泄露0.16 kg。采取的解决方法是增加第一次轨道机动的推进剂消耗量，随后关闭高压气路，第二次轨道机动采用落压方式。导致轨道近火点位置偏离，相应改变了着陆点。

一个月后，对海盗2号的操作程序重新进行了修改，近火制动变轨前，才进行贮箱增压。使用时发现也存在减压阀泄漏问题。

故障原因：减压阀内漏超标，存在多余物卡滞，使阀门无法完全密封。

1.2 进入下降与着陆段

1)苏联火星2号着陆序列设计错误[4]

1971年5月19日，苏联发射火星2号探测器，探测器包括轨道器和着陆器两部分，目标一次任务实现火星环绕和着陆。

故障现象：1971年11月27日，探测器到达火星前4.5 h，轨道器首先分离着陆器，着陆器进入火星大气层，由于着陆序列中明显出现故障，进入角过陡，坠毁在火星表面。轨道器继续飞行，通过近火捕获进入1380 km/25 000 km的火星轨道，周期18 h。

故障原因：着陆序列出现故障，火星2号在到达火星前6天的自动轨道修正时，由于电子设备故障等原因，器上未更新为最新的变轨参数，以致变轨后着陆器进入火星的进入角过大，在降落伞展开前，着陆器已撞击火星表面。

2)苏联火星3号着陆后仅实现短时通信[4]

1971年5月28日，苏联发射火星3号探测器，其任务设计与火星2号相同。

故障现象：1971年12月2日，轨道器分离着陆器，着陆器以6 km/s的速度进入火星大气层，过载敏感器触发超声速开伞时，由于主降落伞故障，主伞在马赫数1附近才打开。在离火星表面20～30 m时，制动火箭启动，主伞分离抛出，最后以20.7 m/s速度着陆。着陆器配置有特制减振器，可以减轻着陆时冲击，实现软着陆。着陆后1 min30 s通过轨道器传回一张图像异常的火星表面图像。14 s后，2个数据通道均停止传输，且再未恢复通信。火星3号轨道器由于发生推进剂泄露，在火星制动捕获时减速发动机未减速到位，仅进入周期303 h的大椭圆轨道(目标周期为25 h)。

根据文献[3-4]推断有如下原因：①着陆器成功着陆后，在尘暴影响下，干燥的沙尘颗粒相互碰撞积累了较高的电荷，加剧了电晕放电现象，造成通讯中断；②轨道器中继通信异常且由于进入非目标轨道，无法有效对地转发着陆器信息；③着陆时遭遇火星有记录以来的最大沙尘暴。尘暴吹翻着陆器，导致拍摄到难以识别的图像。

3)苏联火星6号减速动力异常[4]

1973年8月5日，苏联发射火星6号探测器，探测器包括火星飞越器和着陆器两部分，飞越器在释放着陆器后直接飞越火星。

故障现象：1974年3月12日，着陆器开始火星大气进入，减速着陆程序与火星3号基本相同，开伞时速度约600 m/s，在降落过程中曾传回采集的224 s大气数据。在主伞打开后148 s，即在着陆前几秒时所有信号中断，失去联系。

根据文献[3-4]推断有如下原因：末期制动火箭点火出现问题，导致无法有效减速，造成以61 m/s的速度直接撞击火星表面。同时，由于计算机芯片异常，着陆过程传回数据很多无法判读。

4)苏联火星7号未正常进入着陆前轨道[4]

1973年8月9日，苏联发射火星7号探测器，探测器任务设计与火星6号相同。

故障现象：1974年3月9日，探测器到达火星时，轨道器提前4 h将着陆器分离，着陆器随轨道器以1300 km高度飞越火星，未进入着陆前轨道。

根据文献[3-4]推断有如下原因：由于轨道器计算机芯片异常，无法正常控制分离着陆器动作。

5)美国火星极地着陆器进入过程故障[3]

1999年1月3日，美国发射火星极地着陆器，任务实现火星高纬度地区着陆探测。

故障现象：1999年12月3日，火星极地着陆器与巡航级分离后，进入火星大气时与地面失去联系。据2000年火星环球勘探者(MRO)卫星发回的图像判读，发现了火星极地着陆器的撞击后残骸与降落伞，相距几百米。

根据文献[3]推断有如下原因：正常设计是发动机需要在着陆器的触火信号发出50 ms之内关闭。着陆器上的飞行软件以100 Hz的速率采集3个触火传感器的信号。第一个触火的着陆腿发出的信号使软件在信号发出后25 ms内关闭所有12个下降发动机阀门。而在飞行中，在着陆缓冲机构离着陆面40 m高度展开时，机构展开冲击引发提前给出触地信号，飞行软件误将触地敏感器发出的不稳定信号作为触地确认信号，距火面40 m处提前关闭发动机，致使着陆器以22 m/s速度撞击火星而坠毁。

6)美国勇气号和机遇号地面降落伞强度试验时发生破损[5]

美国分别于2003年6月10日和2003年7月7日，发射了勇气号与机遇号火星探测器，任务实现火星表面巡视探测。

故障现象：发射前的2002年，美国勇气号与机遇号探测器研制后期，在地面利用直升机进行降落伞强度空投试验验证时，发生降落伞严重破损情况(见图1)。

图1 两次试验时降落伞开伞后破损状态示意(NASA)

故障原因：降落伞相对于火星探路者任务，伞顶孔尺寸随降落伞中“带”部分的增大进行了同步放大，造成开伞受力与设计不一致。此外，降落伞伞衣受力方向也与预期设计相反：吊绳需缝在伞体上，为了不让接缝承受拉力，把吊绳缝制在了伞体外部；实际在开伞充气后，吊绳连接处受力超出设计要求，从外部脱离伞体。

最终解决方案：由于在发射前1年发生该问题，无法大规模修改降落伞设计，也不可能显著降低开伞时速度，最后改为采用和火星探路者任务相同的降落伞构型。

7)欧洲航天局猎兔犬2号在着陆过程中失去联系[3]

2003年6月2日，欧洲航天局发射“火星快车/猎兔犬”火星探测器，目标实现火星环绕探测和着陆技术验证。

故障现象：2003年12月20日，火星快车轨道器成功释放猎兔犬2号着陆器后，猎兔犬2号进入火星，随后失去联系。直至2015年1月，根据美国MRO卫星观测图像，猎兔犬2号着陆于火星表面。

基于MRO观测结果推断故障原因如下：猎兔犬2号在着陆火星时缓冲气囊泄露，造成着陆冲击过大，导致太阳翼未能全部展开，而通信天线放置于太阳翼基板下部，因此无法指向到位与火星轨道器建立通信。

8)欧洲航天局“火星生物学2016”探测器着陆数据融合错误[6]

2003年6月2日，欧洲航天局发射“火星生物学2016”(ExoMars 2016)火星探测器，探测器包括轨道器和着陆器两部分，目标实现火星环绕探测和着陆技术验证。

故障现象：2016年10月19日，轨道器与斯基亚帕雷利(Schiaparelli)着陆器分离，着陆器气动减速、弹伞、大底分离过程均执行正常，但降落伞分离提前，发动机工作3 s后即关闭。随后超高频(UHF)中继遥测中断，根据在轨MRO卫星拍摄的图像，证实着陆器已坠毁(见图2)。

故障原因：减速伞开伞冲击导致惯导设备(IMU)中陀螺短期饱和，丢失姿态基准，进而造成器上导航高度数据偏差较大，与微波测量数据融合后未能有效修正高度，从而提前触发降落伞和背罩分离，减速发动机提前关机致使坠毁。

图2 Schiaparelli着陆器坠毁遥感图像(ESA)Fig.2 The remote sensing image of Schiaparelli lander crash(ESA)

1.3 小结

根据前面典型案例分析，可以进行相应故障分类(见表1)。在故障分类上可以归纳如下这些环节直接关系到火星捕获、进入下降与着陆任务成败。

(1)特殊环境适应性不足：针对开伞、接触火面等力学环境，尘暴、低气压等大气自然环境。

(2)关键系统安全性故障：对空间辐照等常规工作环境影响认识不充分或设计可靠性不足，造成推进系统、电子设备、降落伞、测控通信等直接危及整星安全的关键系统故障。

(3)动力学与轨道控制问题：轨道动力学建模、进入前初始轨道实现等精度不满足要求。

进一步可归纳为特殊环境条件适应性设计、推进/降落伞等关键系统安全性设计、轨道动力学分析与变轨策略3类，从而在此基础上开展应对策略研究。

表1 火星探测器典型失败(或故障)分类

续 表

2 设计应对策略研究

2.1 进入与着陆特殊环境条件适应性设计

进入过程经历的环境条件复杂，不仅涉及火星稀薄大气与沙尘条件，还包括多次火工品起爆的冲击，经历弹伞、开伞、触火冲击等事件，必须要开展针对性设计。以下结合当前国内外研究情况梳理归纳应对策略。

2.1.1 重点环节力学环境适应性设计

1)开伞后大角速度适应性设计

针对欧洲航天局ExoMars2016任务Schiaparelli着陆器在轨出现的开伞后陀螺饱和丢失姿态基准问题，在已公开的后续任务改进思路基础上，梳理出应重点开展的三方面工作。

(1)充分研究降落伞喘振、局部塌陷等特殊现象的动力学建模，加强弹伞/开伞、伞降过程动力学仿真分析[7]，研究开伞后降落伞主导的多体系统下角速度的最大包络，从而为惯导设备(IMU)设计提供依据，并做好IMU量程与测量精度的权衡设计。

(2)根据降落伞喘振变化规律：随着开伞马赫数(Ma)降低，喘振影响逐渐减少(Ma为1.4以下可不考虑喘振影响[8])，可以综合着陆区地形高程与进入下降着陆各级减速系统设计方案，在保证后续减速高程余量满足安全要求的前提下，适当降低开伞Ma。

(3)增加开伞后制导、导航与控制(GNC)系统的故障诊断及系统重构设计。当判断IMU饱和后，及时引入微波测距测速雷达的测量信息建立相对地面的安全姿态基准，修正相对当地平面姿态[9]，实现连续获取准确的导航高度，保证着陆安全性。

2)触火关机信号触发设计

针对火星极地着陆器着陆时提前关闭减速发动机的问题，在采用着陆腿式着陆方式时应充分关注足垫触火信号的引入时机，设计合理的时间保护策略。结合国内月球及深空任务研制经验，具体应考虑如下内容。

(1)避免过早引入触火信号进行判断，特别是应在着陆缓冲机构完成展开，且不再有火工品起爆动作后再引入，同时做好触火信号对减速发动机点火振动环境的适应性设计及试验验证。

(2)触火信号的采样频率应避免过高，防止对火工品起爆等高频信号冲击源产生误判。

3)机构类产品的适应性

针对猎兔犬2号发生的异常问题，在系统设计层面需考虑如下措施。

(1)考虑进入下降与着陆阶段特殊的力学环境多，太阳翼、天线等不使用的关键机构应采用火工品压紧方式，避免受到力学冲击影响造成机构损坏。

(2)着陆后太阳翼、天线展开过程尽量避免展开过程串行耦合，如受安装空间限制必须采用串行设计时，也应做好机动驱动线路、绕组等关键产品备份设计；在供电上具有一定面积的体装太阳翼，与基于驱动机构控制的太阳翼进行备份，保证最低安全供电需求；通信方案上具有低增益通道，与基于驱动机构控制的高增益通道进行备份，保证大波束角低码速率的上下行的最低通信条件。

2.1.2 大气环境适应性设计

针对火星3号着陆后失联问题，应重点关注火星大气沙尘、密度等条件对系统设计的影响。

1)着陆时机选择

基于国内外开展的火星尘暴周期研究[10]，火星着陆日期选择时应避免火星全球尘暴季节，同时EDL前利用环火轨道器加强在轨飞行尘暴观测，开展局部尘暴预测。如无法避免尘暴，相对无尘暴季节着陆，在进入器系统设计时应具有更强的鲁棒性，如加强降落伞系统、防热承力结构强度设计，增加防热层厚度或更换耐热防热材料等。美国洞察号(Insight)火星着陆器在设计时就考虑在尘暴季节着陆，在系统设计上相对凤凰号任务均进行了改进。此外，还要评估大气条件的不确定性对进入弹道航程影响从而增大落点偏差，要防止着陆至危险地形区域。

2)低气压环境适应性

针对火星表面低气压环境，火星表面成分CO2相对空气的放电电压阈值更高，基于地球环境验证可以覆盖火星使用条件。另外与地球卫星(发射段短期出现低气压)的主要区别是在火面低气压环境下工作时间长。这要求电子单机加强防低气压放电设计，研制过程做好静电防护，保证可靠放气与控制内部间隙。

3)GNC系统适应性设计

针对火星稀薄大气环境及大气参数极大的不确定性，在大气进入控制时，GNC系统通常要具备进入弹道的调整能力，保证探测器到达满足要求的开伞点条件(高度、动压、马赫数等)以及落点精度，因此采用具有制导能力的弹道-升力式大气进入方式是发展趋势。由于火星大气密度的不确定性大，不适宜采用月球着陆或地球返回的预测制导方案，以火星科学实验室任务为代表应用的参考轨迹制导[11]是现阶段火星大气进入的主要制导方法。

在大底分离后通常选用微波体制敏感器实现相对表面距离和速度测量，相较激光体制敏感器更能适应火星大气沙尘环境条件，防止沙尘对激光能量可能造成的衰减。

2.2 关键系统安全性设计

2.2.1 推进系统安全性设计

地火转移轨道飞行时间长，通常为半年到一年时间，期间将经历近地段高温至近火段低温条件的渐变过程，同时在轨长期处于真空与空间辐照环境。针对希望号火星捕获任务失败、海盗号近火捕获内漏、火星6号减速动力异常等问题，对于轨控或进入着陆使用的推进系统，基于国内外推进系统研制的经验教训，需要重点关注推进系统密封性、长寿命及冗余备份设计。

1)推进系统安全性设计

推进系统在设计时，应做好推进剂氧燃路、气路开关备份设计，包括采用气液路电爆系统冗余备份，自锁阀备份设计。同时设计推进供气路超压管理防止推进系统过压，以降低推进系统发生泄露的风险。

国外部分深空探测器还采用了混合模式推进系统[12]，如单双元混合推进系统，基于单组元可靠性高的特点，将单组元模式用于姿控；利用双组元推力大、比冲相对较高的特点，由双组元模式完成轨控[13]。采用该方式一方面可以保证在氧化剂路未正常供应的条件下仍可以利用单组元模式保证整星姿态，确保能源、热控等平台状态安全，同时还可以兼做轨控备份方案使用。

推进系统正常工作需要热控系统保证较为合理的温度，防止系统结冰或系统超压，因此热控加热回路的设计应做好主备份冗余与故障诊断设计，对于无法工作的加热回路有备份可支持；发生加热回路无法关断、热敏电阻异常等情况，能够剔除相应加热回路和热敏电阻判断，提高推进热控的可靠性。

针对采用表面张力贮箱的推进系统，为保证落压工作期间氧、燃蒸汽的可靠隔离，应设置多级隔离措施。如在单向阀下游还应设置自锁阀，在系统不需要恒压工作期间，关闭该自锁阀，保证氧、燃增压气路通过自锁阀和单向阀两道隔离措施进行隔离，以减少推进剂蒸汽对单向阀的影响。

推进系统研制各环节还需严防多余物对阀门/推进管路类产品的堵塞、卡滞，加强过程控制。

2)减速发动机的配置与可靠性设计

减速发动机能否正常工作直接影响火星制动、进入下降着陆末期减速成败。在产品配置上可以综合推力与比冲，选择双组元或单组元发动机，同时采用多组发动机配合使用，尽可能避免系统设计单点。在产品研制环节需要特别关注在使用前的长期飞行期间，发动机自身的温度条件及密封性能，进行充分的考核验证。

2.2.2 降落伞系统设计

目前成功着陆火星任务的降落伞均采用基于“盘-缝-带”伞的一级减速方案，利用火工品弹射降伞包弹出[14]。两级伞减速系统开伞过程环节多，设计复杂，可靠性低；根据前面苏联、欧洲航天局的案例，采用两级伞减速系统的任务均未成功。

根据降落伞工作特性，降落伞设计时应充分考虑在轨开伞工况对伞衣强度、稳定性的影响。如伞顶孔大小设计时，随降落伞大小调整需进行适应性设计；各连接环节需充分考虑缝纫、转接设计等工艺对强度的影响；伞衣及伞绳的设计强度需考虑在轨长期贮存后空间环境带来的缩减效应、开伞条件的不确定性，具备较高的安全裕度(如1.5倍的安全系数)。

2.2.3 控制计算机容错系统结构设计

针对苏联火星任务中单粒子引起计算机失效、日本希望号任务太阳耀斑引起的星上电源控制电路损坏、火星7号未正常进入预定轨道问题，应充分评估空间辐射环境影响，进行充分的屏蔽设计，采取单粒子防护措施。考虑火星探测转移及探测任务飞行时间长，寿命要求高，长期飞行期间可采用计算机冷备份方案[15]，以降低系统设计难度；针对火星捕获、进入下降与着陆等窗口时序紧张、时机唯一且不可逆的环节，为了保证故障处理的实时性、可靠性，宜采用三机三取二的热备份方式。

2.2.4 测控安全性设计

针对美国火星观测者任务与地面失联问题，测控通信设备在研制时需要针对火工品起爆冲击等条件开展减振设计，并做好冗余备份。特别是针对调姿、变轨等特殊环节，应建立全向天线通道低增益通信条件，作为高增益定向天线通道的备份，防止造成测控链路永久性中断，无法恢复。在由于测控设备异常出现测控链路中断的条件下，可通过GNC分系统配合实现整器调姿，逐渐由低增益过渡至高增益对地指向状态，恢复对地通信链路。

2.3 轨道动力学分析与变轨策略

1)开展轨道动力学精确建模

针对火星气候轨道器在轨发生的近火捕获异常问题，应充分识别探测器自身姿控、推力器卸载、以及不同姿态下太阳光压阻力带来的干扰影响，在轨道计算时进行动力学精确建模。发射前地面提前开展探测器不同飞行姿态下基于精确外形模型的光压分析；在轨针对巡航飞行期间姿控、推力器卸载产生的速度增量进行定期标定；对变轨期间的飞控动作，应加强关键过程轨道计算、变轨策略设计的多方复核复算。

2)大气进入前轨道实现

EDL大气初始进入条件(包括进入角、初始位置、时刻等关键参数)对保证弹道安全至关重要。针对火星2号出现的进入初始轨道偏差较大问题，需要通过EDL前最后一次变轨保证精度。根据美国火星科学实验室任务的研制经验[16]，需要综合评估测定轨精度、变轨精度、地面操作复杂性等条件，尽可能在接近EDL时执行。同时进入器应尽可能具备一定自主判断逻辑，并配置对外导通、对称安装的成对姿控推力器，可以在最后一次变轨异常时自主实现轨控修正。

3)轨控故障预案设计

针对火星捕获这种一次性不可逆过程，一旦推进系统主发动机无法点火工作或点火时间不足，将进入绕日飞行轨道。在这种情况下，应该充分做好故障预案设计，进行绕日交会备份轨道设计(如日本希望号)，研究地球、月球等借力飞行方案，尽可能通过轨道设计及飞行程序调整来挽救任务。

3 结束语

火星捕获段、进入下降与着陆段具有时间短、窗口唯一和不可逆的特点，期间涉及的环境要素多，且地面验证难度大，必须要开展极端工况分析，加强力学、大气等环境条件适应性设计；要充分重视飞行期间轨道动力学分析与正常变轨策略优化，保证近火捕获安全高度、大气进入前初始条件等关键参数；同时开展完备的轨控故障预案设计，应对可能出现的变轨极端故障，尽可能挽救任务；此外，尤其应关注推进、测控等关键系统的安全性设计，通过系统性的冗余与裕度设计提高关键动作执行的可靠性。本文通过对国外典型火星探测失败案例的分析，系统归纳了设计上的关键要素与风险点，并提出了应对策略，可以为后续的火星探测任务提供参考借鉴。